25亿Gmail用户资料恐有外泄危机 Google力推Passkey强化帐户安全
黑客集团ShinyHunters近期成功入侵Google资料库,据传可能导致高达25亿Gmail用户的个人资料外泄。
Google威胁情报团队(Google Threat Intelligence Group)今年6月发现,黑客组织UNC6040(ShinyHunters,闪电猎人)近期针对全球多家企业展开语音钓鱼(vishing)攻击,专门锁定Salesforce(赛富时)平台进行大规模数据窃取。
Google威胁情报团队分析指出,这波攻击并非仰赖技术漏洞,而是透过冒充IT人员诱导受害员工授权恶意应用程式,导致敏感资料外泄。更令人忧心的是,黑客往往在数月后才展开勒索行动,向受害企业索取比特币赎金,并扬言公开数据,显示企业面临的云端资安威胁正不断升级。
黑客假冒IT骗授权!Google、Adidas疑个资外泄
UNC6040(ShinyHunters)此次攻击的最大特点是“人性弱点”的利用,而非系统本身的技术缺陷。黑客假冒IT支援人员,透过电话联系目标企业员工,指引对方进入Salesforce的“连接应用程式”设定页面,并授权一个经过修改、伪装成官方工具(如Data Loader,资料载入器)的恶意应用程式。
一旦授权完成,黑客便能利用该应用程式的大量数据存取权限,迅速汇出企业内部的客户、销售、营运等敏感资讯。更进一步,黑客还会横向移动至其他云端平台(如Okta、Microsoft 365),扩大攻击范围。
值得注意的是,这些攻击行为完全未利用Salesforce本身的漏洞,纯粹依赖对员工信任机制的操控。据BleepingComputer报导,受影响的企业包括谷歌、爱迪达、安联人寿、澳大利亚航空、路易威登、迪奥、蒂芬妮、潘多拉、香奈儿等多家国际知名企业。
据Google威胁情报小组说明,本次事件中威胁行为者(UNC6040)在入侵Salesforce企业后,检索到的资料仅限于“基本的、大部分公开可用的商业讯息,例如企业名称和联络资讯”。这些资讯属于中小型企业的联络资料和相关记录,并未涉及敏感个人资料或财务资讯。换言之,消费者Gmail及Cloud帐号并未直接受损。
Google已于8月8日以电子邮件通知受影响用户,并再次呼吁所有Gmail及Google Cloud(谷歌云端)帐号持有者,应随时警觉可疑活动,并尽速变更密码。
25亿Gmail帐户外泄?未必,但改密码确实有用
针对此案,包括《Forbes》、《Economic Times》等外媒报导指“Google证实全球高达25亿用户面临帐户遭窃风险”,但经查Google威胁情报团队并未提出这种说法。
趋势科技表示,虽Google已确认没有用户密码被盗,但黑客除了透过社交工程与钓鱼诈骗外,还会将资料外泄名单作为攻击清单,进行“暴力破解”(Brute Force Attack),针对外流的Gmail帐号,批量尝试输入常见密码组合,例如“123456”、“password”或生日日期,借此成功登入帐户。由于许多使用者仍习惯使用简单或重复密码,可能让黑客得以快速突破防线。
趋势科技建议,可利用(ID Protection)的个资检查功能输入Gmail帐号,立即检查是否已遭外泄。
如何快速变更Gmail密码
用户可依照以下步骤在各装置上快速变更密码:
网页版:进入Google帐户,点选“安全性”,于“登入Google”下选择“密码”,重新登入后输入新密码并储存。
Android(安卓)装置:进入“设定”>“Google”>“管理Google帐户”,选“安全性”>“密码”,重新登入后更改密码。
iPhone/iPad:开启Gmail应用程式,点选右上角个人头像,选“管理Google帐户”>“个人资讯”>“密码”,重新登入后输入新密码。
什么是Passkey?如何启用?
Google Passkey(密码金钥)能让你用指纹、脸部辨识或装置解锁,取代传统密码登入 Google帐户,提升安全性并防止密码外泄。以下是标准启用流程:
1. 前往Google官方“密码金钥”设定页:建立密码金钥。
2. 登入你的Google帐户。
3. 点选“管理你的Google帐户”→“安全性”→“您登入Google的方式”→“密码金钥”。
4.按下“建立密码金钥”并依指示完成装置验证(如指纹、脸部或PIN码)。
5.设定完成后,日后登入Google帐户时,系统会自动提示使用Passkey,无需再输入密码。
相关文章:全球最危险密码Top 10 黑客1秒就能破解 多样化排列组合才安全
延伸阅读:
史上最大宗!中国40亿笔个资外泄:微信、支付宝⋯消费纪录全外流,对台湾人有影响吗?
全球100大AI出炉!Google大舰队成赢家:除了ChatGPT,还有哪些好用AI工具?
【本文获“数位时代”授权转载。】